Verwerkersovereenkomst
Als u een verwerker (IT-leverancier, een andere overheidsdienst, ...) inschakelt voor het verwerken van persoonsgegevens, dan bent u verplicht om een aantal onderwerpen vast te leggen in een schriftelijke verwerkersovereenkomst.
Wanneer een verwerking namens een verwerkingsverantwoordelijke wordt uitgevoerd, mag deze verwerkingsverantwoordelijke alleen verwerkers inschakelen die voldoende garanties bieden met betrekking tot het nemen van passende technische en organisatorische maatregelen. Dit is nodig om ervoor te zorgen dat de verwerking voldoet aan de vereisten van de AVG en de rechten van de betrokkenen worden beschermd.
De Algemene verordening gegevensbescherming (AVG) vereist dat zowel verwerkingsverantwoordelijken als verwerkers een verwerkersovereenkomst sluiten (art 28, derde lid, AVG). Beide partijen zijn dus aansprakelijk als een verwerkersovereenkomst ontbreekt.
Als verwerkingsverantwoordelijke bent u in overtreding als u met een verwerker samenwerkt zonder schriftelijke afspraken. U kunt dan niet aantonen dat u voldoende garanties heeft dat de verwerker de persoonsgegevens conform de AVG beschermt.
Als verwerker bent u ook verplicht om een verwerkersovereenkomst te hebben. Zo niet, kunt u zich niet beroepen op de grondslag van de verwerkingsverantwoordelijke en heeft u geen enkel recht om die persoonsgegevens te verwerken.
In de praktijk neemt de verwerkingsverantwoordelijke vaak het initiatief bij het opstellen van een verwerkersovereenkomst, aangezien zij meestal degene zijn die de verwerking willen uitbesteden. Dit kan ook door de verwerker worden geïnitieerd.
Ongeacht wie de verwerkersovereenkomst opstelt, de verwerkingsverantwoordelijke blijft altijd verantwoordelijk voor de verwerking.
Inhoud verwerkersovereenkomst
Volgende onderwerpen worden vastgelegd in de verwerkersovereenkomst:
- Algemene beschrijving: een beschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als verwerkingsverantwoordelijke.
- Instructies voor de verwerking: de verwerking vindt uitsluitend plaats op basis van uw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.
- Geheimhoudingsplicht: personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.
- Beveiliging: de verwerker neemt passende technische en organisatorische maatregelen om de verwerking te beveiligen, zoals pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, en regelmatige beveiligingstesten.
- Subverwerkers: de verwerker schakelt geen subverwerker(s) in zonder uw voorafgaande schriftelijke toestemming. De verwerker legt dezelfde verplichtingen op aan de subverwerker als die gelden tussen u en de verwerker. In de overeenkomst kunt u ook vastleggen onder welke voorwaarden de verwerker subverwerkers mag inschakelen. Als de subverwerker zijn verplichtingen niet nakomt, blijft de verwerker volledig aansprakelijk richting u (art 28, lid 4, AVG).
- Privacyrechten: de verwerker helpt u te voldoen aan uw verplichtingen wanneer betrokkenen hun privacyrechten uitoefenen, zoals het recht op inzage, correctie, verwijdering en dataportabiliteit.
- Andere verplichtingen: de verwerker ondersteunt u ook bij het voldoen aan andere verplichtingen, zoals het melden van datalekken, het uitvoeren van een gegevensbeschermingseffectbeoordeling (GEB/DPIA) en een voorafgaande raadpleging.
- Gegevens verwijderen: na afloop van de verwerking verwijdert de verwerker de gegevens of bezorgt deze aan terug u, indien gewenst. Kopieën worden ook verwijderd, tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.
- Audits: de verwerker dient mee te werken aan uw audits of die van een derde partij en stelt alle relevante informatie beschikbaar om te controleren of de verwerker zich aan de bovenstaande verplichtingen houdt (art 28 AVG).
Aandachtspunten
Bij het opstellen van een verwerkersovereenkomst houdt u best rekening met volgende punten:
- Er mogen geen afspraken opgenomen worden die in strijd zijn met de AVG. Indien dit wel gebeurt of gaat u akkoord met dergelijke afspraken, dan kunt u in overtreding zijn, aangezien de AVG boven de verwerkersovereenkomst staat.
- De organisatie die daadwerkelijk het doel en de middelen van de verwerking bepaalt, is volgens de AVG de verwerkingsverantwoordelijke, ongeacht wat er in de verwerkersovereenkomst staat.
- U kunt een organisatie niet dwingen om een overeenkomst te tekenen. Indien u niet het eens bent over de inhoud, kunt u ervoor kiezen om niet samen te werken. Doet u dat wel zonder een verwerkersovereenkomst te hebben, dan bent u beiden in overtreding.
Vragenlijst informatieveiligheid verwerkers
14/8/2024
Door een thema-audit over ICT-risico’s bij lokale besturen van Audit Vlaanderen en de meldingen van datalekken door de lokale besturen bij de VTC, werd duidelijk dat regelmatig de nodige beveiliging niet geregeld werd of niet afgedwongen werd t.o.v. de leverancier of niet geleverd werd/wordt door de leverancier.
De VTC biedt de lokale besturen ter ondersteuning een vragenlijst aan om hun verwerkers te bevragen:
Brief aan de lokale besturen en agentschappen(PDF bestand opent in nieuw venster)
Bijlage 1. Duiding bij de vragenlijst(PDF bestand opent in nieuw venster)
Bijlage 2. Vragenlijst deel A (verantwoordelijke) en deel B (verwerker)(PDF bestand opent in nieuw venster) (word-versie(Word bestand opent in nieuw venster))